90% rootkits afkomstig van Tsjechische Holy Father
Rootkits zijn een groter gevaar dan ooit, en geinfecteerde systemen kunnen het best geformatteerd worden, zo waarschuwde Microsoft's Mike Danseglio onlangs. Danseglio is een ware voorstander van het formatteren, hetzelfde advies gaf hij ook al begin april. Om het gevaar te bestrijden heeft Microsoft vier mensen in dienst die continu bezig zijn met het analyseren van rootkits die op Windows computers gevonden worden. Uit die analyses kwam naar voren dat 90% van alle Windows rootkits gebaseerd is op Hacker Defender, een rootkit ontwikkeld door een Tsjechische progammeur genaamd "Holy Father".
Holy Father maakte laatst bekend dat hij stopte met het schrijven van rootkits. De auteur schreef rootkits om anti-virus aanbieders te laten zien dat hun producten waardeloos zijn en eenvoudig door malware omzeild kunnen worden.
Veel security aanbieders zeggen wel dat hun produkten en oplossingen rootkits kunnen detecteren, maar volgens Holy Father is dit niet het geval. Hij paste zijn rootkit namelijk voor elke klant aan, zodat detectie van de één geen gevolg had voor andere klanten.
Volgens Holy Father heeft het geen zin meer om met het aanbieden van rootkits door te gaan, ook al is er nog steeds geen werkende anti-rootkit oplossing, wat de reden was waarom hij begon met het schrijven van rootkits. Toch blijven de creaties van de Tsjech erg populair. Het schrijven van rootkits is niet strafbaar, maar het gebruik ervan om code op een gehackte computer te verbergen is dat wel.
De volgende tools worden aanbevolen om rootkits te detecteren en verwijderen:
Vergeet [url=http://www.rootkit.nl/projects/rootkit_hunter.html]Rootkit Hunter[/url] niet! ({li|u}n{u|i}x)
trojans en virussen etc. is nog tot daar aan toe.
Een (kritiek) productie systeem wat geinfecteerd is moet
zoiezo van scratch worden opgebouwd omdat je niet weet wie
of wat binnen is geweest en wat er achter gelaten is.
Na het verwijderen van de trojan zou je dus ook al je
instellingen etc. op de server moeten nagaan. Er kunnen
gaten in aangebracht zijn.
Het is dan ook (vaak) sneller om de machine opnieuw terug te
zetten en alleen die data (van tape) terug te zetten,
waarvan duidelijk is dat die met niets geinfecteerd is (voor
zover mogelijk). Overigens is dat alleen goed mogelijk als
de hele inrichting van de server goed gedocumenteerd is......
Volgens mij is dit niet iets nieuws, maar zou dit ueberhaupt
al gedaan moeten worden. Dus wat mij betreft... oud nieuws.
Na het verwijderen van de trojan zou je dus ook al je
instellingen etc. op de server moeten nagaan. Er kunnen
gaten in aangebracht zijn.
allemaal klopt.. Alleen "onderwater" staat het anders..
Geen enkel programma is meer te vertrouwen op die machine..
Inclusief de tools die je gebruikt om die instellingen te
controleren..
terug te
zetten en alleen die data (van tape) terug te zetten,
waarvan duidelijk is dat die met niets geinfecteerd is (voor
zover mogelijk).
ueberhaupt
al gedaan moeten worden. Dus wat mij betreft... oud
nieuws.
Na het verwijderen van de trojan zou je dus ook al je
instellingen etc. op de server moeten nagaan. Er kunnen
gaten in aangebracht zijn.
allemaal klopt.. Alleen "onderwater" staat het anders..
Geen enkel programma is meer te vertrouwen op die machine..
Inclusief de tools die je gebruikt om die instellingen te
controleren..
terug te
zetten en alleen die data (van tape) terug te zetten,
waarvan duidelijk is dat die met niets geinfecteerd is (voor
zover mogelijk).
ueberhaupt
al gedaan moeten worden. Dus wat mij betreft... oud
nieuws.
;)
Je kan (en moet eigenlijk) het nog verder door trekken. Als
er 1 server voorzien is geweest van een trojan ofzo, dan is
het ook mogelijk dat er via die server toegang tot andere
servers is geweest....
Met 1 infectie zou je dus je hele netwerk opnieuw op moeten
bouwen. Realiteit is dat dit vaak niet gebeurt (kosten baten
analyse).
Vergeet [url=http://www.rootkit.nl/projects/rootkit_hunter.html]Rootkit Hunter
[/url] niet! ({li|u}n{u|i}x)
Dat gaat mooi niet werken als er hxdef brilliant draait ;)
verstandig is. Voor het vinden van malware, of evt.
legitieme software die je systeem instabiel maakt, kunnen
rootkit detectors m.i. wel handig zijn (en bovendien
geven ze inzicht in hoe je systeem werkt).
En wat de ene tool niet kan vinden, kan de andere mogelijk wel.
Rootkit Analyzer van Resplendence (free download,
http://www.resplendence.com/hookanalyzer)
onderzoekt de Windows sprongtabel met pointers naar kernel
functies, en geeft verdachte entries aan. Over het algemeen
zijn dat "hooked" (omgeleide) functies die eerst in actie
komen voordat zij op hun beurt de oorspronkelijke Windows
functies aanroepen (of niet) en zo functionaliteit op een
laag niveau kunnen wijzigen.
System hooks zijn lang niet altijd kwaadwaardig, false
positives zijn dus te verwachten. Het is daarom altijd goed
om zo'n tool af en toe te draaien (ken je systeem) en als er
wijzigingen zijn, te proberen daarvan de oorzaak vast te
stellen.
Resplendence is een Italiaans bedrijf, maar de oprichter
Daniel Terhell is, als ik me niet vergis, een Nederlander
die al het een en ander aan software heeft gepubliceerd.
N.B. ik heb geen relatie met Resplendence of hun
medewerker(s). Mijn bron was (eind vorig jaar al, en
Duitstalig):
http://www.heise.de/security/tools/default.shtml?prg=81
Een ander product van Resplendence is "Principal Antivirus"
(geen freeware) dat zich van andere virusscanners
onderscheidt doordat het geen definities nodig heeft, zie
http://www.resplendence.com/antivirus. Zolang
zo'n product niet wijd verspreid is zullen malware makers
niet de moeite nemen om zo'n "scanner" te omzeilen of uit te
schakelen, dus zou het best wel zin kunnen hebben. Is er
iemand die ervaring heeft met dit product? Meningen zijn
natuurlijk ook welkom (dan svp wel eerst even hun webpage
lezen).
Erik van Straten
dat er niets (en dan echt helemaal niets) op de machine te
vertrouwen is. Je moet het systeem gestart hebben om dit
soort tools te kunnen draaien. Op dat moment kan er al wat
actief zijn en de informatie die dit programma opvraagt kan
dan gemanipuleerd zijn waardoor de tool denkt dat er niets
aan de hand is. Voor hetzelfde geld is bijvoorbeeld de
ntoskrnl.exe aangepast. De enige manier om daar achter te
komen is door middel van het booten van bijv. een Live-CD en
vervolgens een analyze starten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
